グレートファイアウォールレポート (GFR) の観測者によると、中国は現在、ESNI が有効になっている TLS 1.3 を使用する暗号化された HTTPS トラフィックをブロックしている。
TLS は安全なオンライン通信の基盤であり、ユーザーがアクセスしたいコンテンツや生成したコンテンツを非表示にし、無関係な第三者に見られずにインターネットを通過できるようにします。
TLSはユーザーの通信内容を隠蔽しますが、通信先のサーバーを常に隠蔽できるわけではありません。これは、ハンドシェイクにトラフィックの送信先を示すサーバー名表示(SNI)フィールドがオプションで含まれるためです。中国などの国々は、この情報を利用して、ユーザーによる特定のウェブサイトへのアクセスをブロックしています。
このプライバシーギャップに対処するため、TLS は暗号化 SNI (ESNI) を導入しました。ENSI は SNI を暗号化することで、中継者が SNI を覗き見ることができないようにし、少なくとも理論上は、過剰な検閲者が望ましくない場所との間のトラフィックを傍受してブロックするのを防ぎます。
しかし、GFR によると、中国はこの問題を回避する 1 つの方法を見つけました。それは、ESNI が有効になっているすべての TLS 1.3 接続を完全にブロックすることです。
アリババはAWSやマイクロソフトが利用していないVMwareをグレートファイアウォールの背後で利用している
続きを読む
この禁止措置は、問題のあるパケットを単純に破棄することで実施されますが、これは中国のこれまでのコンテンツ制御戦略よりも緩いものです。これまでの戦略では、偽造されたTCPリセットコマンドをサーバーとクライアントの両方に送信して接続を切断していました。
GFRチームはまた、ESNI接続がブラックホール化されると、送信元IP、宛先IP、宛先ポートの同じ組み合わせを持つ接続が最大180秒間ブロックされ続けることを発見しました。このブロックは、通常の場合のようにポート443だけでなく、すべてのポートで発生します。
GFRは、アメリカのメリーランド大学が開発した遺伝的アルゴリズム「Geneva」を用いることで、新たなブロックを回避できることを発見しました。Genevaは、元の接続に影響を与えることなくパケットストリームを操作するものです。GFRチームはGenevaを用いて、クライアント側で動作する6つの戦略と、サーバー側で100%の信頼性で動作する4つの戦略を発見しました。®
